Merhabalar,
Android de (amatörce) geliştirdiğimiz bir uygulama için bir Spring RESTful bir sistem kurduk. Serverimize sadece kullanıcı adı ve şifreyi bilen kişilerin post ve ya get yapmasını istiyoruz (Üyelik sistemi değil. Sadece herkes post get yapmasını istemiyoruz). Bu bilgilerde android uygulamasının içinde login bilgileri olarak kodda gömülü ve login call'ı yaptığımız zaman bu bilgiler servere gönderilip kontrol ediliyor doğru ise işlemi yapılıyor yanlış ise yapılmıyor.
Bu yöntem şuan için sadece "çalışıyor". Ancak bilgiler havada uçuşuyor ve çok basit bir şekilde yakalanabilir diye tahmin ediyorum. Bilgileri yollarken şifrelemek lazım. Bu konuda bir kaç yazı okudum araştırma yaptım. Private public key vs. Bu ancak bilginin ele geçirilememesini sağlar ancak kötü niyetli şahıs encrypt edilmiş kullanıcı adı ve şifreyi elde ettikten sonra bunun da bir anlamı kalmıyor. Servere şifrelenmiş hali giderse server bunu decrypt edip logine izin verecektir. Burada nasıl bir yaklaşım izleniyor büyük firmalar tarafından? Mesela uygulamam da Twitter API kullansam ve kullancı adı-şifre kompinasyonu ile giriş yapmak istesem orada nasıl bir işlem gerçekleşiyor.
Yardımcı olursanız sevinirim. Şimdiden teşekkürler.